[Arquivado]Trojan Vundo

[Sasquak 0]

Olá Pessoal, este é meu primeiro acesso á um forum, nao sei se estou fazendo corretamente.estou com um problema , meu antivirus encontrou um trojan vundo, só que ele nao remove.já passei varios tipos de programas, ele encontra a entrada as vezes, deleta mais sempre esta de volta.e sempre abre paginas de musica, de um antivirus e pagina de error.estou muito preocupado pois nao posso formatar o pc devido que é exclusivo da empresa onde trabalho.se puder me dizer passo a passo oque devo fazer vou ficar muito grato.obrigado.

[jgarcia 1]

Opa Sasquak,

 

Faça o seguinte:

 

Baixe o HijackThis versão 1.99.1.

 

Depois > Iniciar > Meu Computador > 02 cliques no C > Coloca o HijackThis no C (extraindo do zip --> para uma pasta própria tipo c:/Hijack).

 

Execute o Hijack a partir do C, fechando os demais programas (deixando somente a área de trabalho).

 

Clique em Do a system scan and save a logfile, mas não marque nada, apenas poste o log gerado aqui neste mesmo tópico.

 

Abraços.

[Sasquak 0]

Bom meus amigos,

com muitas pesquisa e sofrimento consegui remover este maldido virus do pc

e espero poder ajudar os outros pois vi que muitos tem o mesmo problema que eu tinha

a remoção é dificil devida suas diversas variantes mesmo assim estou aqui pra tentar ajudar.

neste site voces vao encontrar este programa chamado VirtumundoBeGone http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

voces vão copiar na area de trabalho, desativar a restauração do sistema, reiniciar em modo seguro

em modo seguro voce executa o programa e da um Start nele siga os processos...

depois disto ele vai reiniciar o sistema. feito isto copie este outro programa chamado Vundo Fix no link

http://www.atribune.org/content/view/24/2/ feito isto de um Scan e quando terminar clique em remove

Vundo, feito isto passe o SpyBot para limpar o registro, lembrando que Virtumundo é uma das variantes

do Trojan Vundo, ou Contrario.

 

no meu computador funcionou perfeitamente e não abre mais paginas de antivirus nem nenhum tipo que

aparecia antes.

espero ter ajudado.

[jgarcia 1]

Opa Sasquak,

 

Tudo o que você postou é verdade, no entanto o Vundo costuma adentrar à máquina por meio de uma infecção conjunta, ou seja, uma infecção em que vários malwares invadem o sistema do usuário. Assim sendo, a utilização das ferramentas citadas por você poderia não ser suficiente para a remoção de todas as entradas maliciosas adicionadas ao registro.

 

Ante o exposto, aqui em Segurança & Malwares, os tópicos são tratados de forma distinta e particular, mesmo que os problemas sejam semelhantes. ;)

 

Abraços.

[custodio damaso 0]

Se puder me ajudar, eu estou com os mesmos problemas que a maioria.

 

Obrigado desde já.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:35:51, on 23/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

 

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\Arquivos de programas\Windows Defender\MsMpEng.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

G:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

G:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

G:\WINDOWS\system32\nvsvc32.exe

G:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

G:\WINDOWS\Explorer.EXE

G:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

G:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

G:\Arquivos de programas\Styler\Styler.exe

G:\Arquivos de programas\Windows Defender\MSASCui.exe

G:\WINDOWS\system32\RUNDLL32.EXE

G:\Arquivos de programas\Java\jre1.6.0_03\bin\jusched.exe

G:\Arquivos de programas\lg_fwupdate\fwupdate.exe

G:\WINDOWS\vsnpmi03.exe

G:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

H:\Arquivos de programas\Winamp\winampa.exe

G:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

G:\WINDOWS\system32\ctfmon.exe

G:\Arquivos de programas\RSSoft\RedSwoosh.exe

G:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

G:\WINDOWS\system32\svchost.exe

G:\Arquivos de programas\Winamp Remote\bin\OrbTray.exe

H:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

G:\Arquivos de programas\Last.fm\LastFMHelper.exe

G:\Arquivos de programas\Winamp Remote\bin\Orb.exe

G:\Documents and Settings\Custodio.LUCAS-C5E253CEF\Desktop\hijack\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lance.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - G:\Arquivos de programas\Winamp Toolbar\winamptb.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {C1ADC5ED-FB26-4770-AFE5-BD3A7EB5C148} - (no file)

O2 - BHO: (no name) - {C91E1148-B0CA-4B37-A31B-38F5B6F270D8} - (no file)

O2 - BHO: (no name) - {E64F0381-0053-4842-B3E5-08F6C4A0AEB6} - (no file)

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - G:\Arquivos de programas\Styler\TB\StylerTB.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - G:\Arquivos de programas\Winamp Toolbar\winamptb.dll

O4 - HKLM\..\Run: [AVG7_CC] G:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [HP Software Update] G:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [styler] G:\Arquivos de programas\Styler\Styler.exe

O4 - HKLM\..\Run: [Windows Defender] "G:\Arquivos de programas\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Arquivos de programas\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [LGODDFU] "G:\Arquivos de programas\lg_fwupdate\fwupdate.exe" blrun

O4 - HKLM\..\Run: [NeroFilterCheck] G:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [systemRestoreStatus] rundll32.exe "G:\WINDOWS\system32\lngfpwnl.dll",sitypnow

O4 - HKLM\..\Run: [sNPMI03] G:\WINDOWS\vsnpmi03.exe

O4 - HKLM\..\Run: [HP Component Manager] "G:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [WinampAgent] "h:\Arquivos de programas\Winamp\winampa.exe"

O4 - HKCU\..\Run: [MsnMsgr] "G:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Red Swoosh] G:\Arquivos de programas\RSSoft\RedSwoosh.exe /S

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "G:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Orb] "G:\Arquivos de programas\Winamp Remote\bin\OrbTray.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = G:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = H:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Last.fm Helper.lnk = G:\Arquivos de programas\Last.fm\LastFMHelper.exe

O8 - Extra context menu item: &Winamp Toolbar Search - G:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://G:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase8300.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{545B7313-E9F6-45E9-802D-4F5D1458AF01}: NameServer = 200.165.132.147 200.149.55.140

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - G:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - G:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - G:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - G:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - G:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - G:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - G:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - G:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - G:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

[jgarcia 1]

Opa custodio damaso,

 

Vamos lá.

 

* Baixe o VundoFix.

 

* Dê duplo-clique sobre VundoFix.exe para iniciá-lo;

 

* Quando o VundoFix abrir clique em Scan for Vundo. Aguarde o término do scan que pode demorar algum tempo. Seja paciente;

 

* Terminado o scan clique em Remove Vundo;

 

* Você receberá um alerta perguntando se deseja remover os arquivos. Clique em YES. O seu desktop irá apagar (isto é normal);

 

* Para completar o scan será necessário reinicializar a máquina. Clique em OK;

 

* Favor postar o log do VundoFix (G:\vundofix.txt) em sua próxima resposta, juntamente com um novo do HijackThis.

 

Abraços.

[Sam Spade 2]

Tópico Arquivado

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.